malwarewikiaorg-20200223-history
Happy New Year
Happy New Year is a ransomware that runs on Microsoft Windows. It was discovered by Alex Svirid. It is part of the WannaCash family. It is aimed at Russian-speaking users. Payload Transmission Happy New Year is distributed through spam campaigns, trojans, fake software updaters and illegal activation ("cracking") tools, as well as through untrustworthy download channels. Infection During the encryption process all files are renamed following this pattern - assigned file number, "file encrypted. Write to" (in Russian), the cyber criminals' email address and the ".happy new year" extension. For example, following encryption - a file like "1.jpg" would appear as something similar to "885 Файл зашифрован. Пиши noallpossible@cock.li .happy new year". After this process is finished, Happy New Year drops a text file titled "как расшифровать файлы.txt" ("how to decrypt files") on the victim's desktop. This file contains the ransom note. The message in the text file informs users that their data has been compressed into password-protected archives, the passwords of which are unique and contain one hundred characters. The AES-256 cryptographic algorithm was then used for the encryption. The note then goes on to list affected file types, which range from text, document, image, video, audio and archive files to a variety of browsing-related data. The message "guarantees" that victims can safely and easily recover all of their files. To prove their "honest" intentions, the cyber criminals behind Happy New Year offer to decrypt up to two files free of charge. These test files cannot be documents, such as Microsoft Office files. There are two email addresses, for the purpose of establishing contact and to which users can send the encrypted files to test decryption. It is stated that victims have seven days to write to the developers of the Happy New Year ransomware. If victim doesn't follow these instructions, it is implied that recovering their data will become impossible. The note warns that renaming the encrypted files and/or attempting decryption with third party tools - may lead to permanent data loss. The text ends with recommendations not to make queries in forums of anti-virus software companies, as it is supposedly a waste of time. Text presented in Happy New Year ransomware's text file ("как расшифровать файлы.txt"): Все значимые файлы на ВАШЕМ компьютере были упакованы в закодированные архивы с уникальными 100''значыми паролями, при использованием AES-256-битного шифрования.'' Пораженные расширения и типы: .doc .docx .xls .xlsx .xlst .ppt .pptx .accdb .rtf .pub .epub .pps .ppsm .pot .pages .odf .odt .ods .pdf .djvu .html .rtf .1Cv8ddb.1cl .1CD .cf .dt .efd .jpg .png ║ .mp4 .mov .avi .mpeg .flv .gif .bmp .3gp .zip .rar'+' .7z .gzip .gz .tib .bak .iso .dat .cpp .h .pas .dpr .dproj .py .JS .css .php .asm .jar .apk .xml .psd .psb .AEPX .PRPROJ .SWF .veg .txt .bd .default "Cookies" "History" "Login Data" "Favicons" "Web Data" "default" Я гарантирую, что ВЫ сможете безопасно и легко восстановить все свои файлы. Чтобы подтвердить мои честные намерения, отправьте мне на почту 2 разных файла, и ВЫ получите их расшифровку. Они НЕ должны быть документами (офис и тп). почта: noallpossible@cock.li резеврная почта: supermax@cock.lu Если не отвечаю в течении суток, пишите на резервную почту. У ВАС есть ровно 7 дней на связь со мной. 03/01/20 числа в расшифровке ВАМ будет отказано. Внимание ! * Не переименовывайте зашифрованные файлы. * Не пытайтесь расшифровать ваши данные с помощью сторонних программ, это может привести к повреждению или другим неприятным последствиям. Крайне не рекомендую обращаться за помощью на форумы антивирусных компаний. Только лишь потеряете время на ожидание отрицательного ответа. Category:Ransomware Category:Win32 ransomware Category:Win32 Category:Win32 trojan Category:Microsoft Windows Category:Trojan